problème fichier appdata/roaming
Dernière réponse : dans Sécurité
Bonjour,
suite à un scan avec malwarebyte,j'ai supprimé les fichiers infectés selon lui.
depuis,mon PC plante ou s’éteint tout seul.
à l'ouverture,j'ai 2 icones qui apparraissent avec marqué "cwcwer" et"c:appdata/roaming\2 2\svchost.exe"
Suite à la lecture d'un autre sujet,j'ai fais un scan avec aswMBR et voici le résultat:
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-22 10:17:16
-----------------------------
10:17:16.197 OS Version: Windows 6.1.7600
10:17:16.197 Number of processors: 2 586 0x4B02
10:17:16.199 ComputerName: XAVI-PC UserName: Xavi
10:17:16.465 Initialize success
10:17:19.101 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000065
10:17:19.105 Disk 0 Vendor: WDC_WD16 10.0 Size: 152627MB BusType: 3
10:17:19.108 Disk 1 \Device\Harddisk1\DR1 -> \Device\00000066
10:17:19.112 Disk 1 Vendor: WDC_WD25 02.0 Size: 238475MB BusType: 3
10:17:19.130 Disk 0 MBR read successfully
10:17:19.134 Disk 0 MBR scan
10:17:19.138 Disk 0 Windows 7 default MBR code
10:17:19.143 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152617 MB offset 63
10:17:19.149 Disk 0 scanning sectors +312560640
10:17:19.199 Disk 0 scanning C:\Windows\system32\drivers
10:17:26.089 Service scanning
10:17:37.942 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
10:17:42.422 Modules scanning
10:17:52.424 Disk 0 trace - called modules:
10:17:52.801 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x847711f8]<<
10:17:52.808 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x857b1620]
10:17:52.817 3 CLASSPNP.SYS[87ae059e] -> nt!IofCallDriver -> [0x854c4f08]
10:17:52.824 5 ACPI.sys[873393b2] -> nt!IofCallDriver -> \Device\00000065[0x854b2c78]
10:17:52.833 \Driver\nvstor32[0x847a1cc0] -> IRP_MJ_CREATE -> 0x847711f8
10:17:52.841 Scan finished successfully
10:18:04.757 Disk 0 MBR has been saved successfully to "C:\Users\Xavi\Desktop\MBR.dat"
10:18:04.780 The log file has been saved successfully to "C:\Users\Xavi\Desktop\aswMBR.txt"
Je suis sous windows 7,
merci d'avance pour m'aider et me dire comment je dois faire pour réparer ça!
suite à un scan avec malwarebyte,j'ai supprimé les fichiers infectés selon lui.
depuis,mon PC plante ou s’éteint tout seul.
à l'ouverture,j'ai 2 icones qui apparraissent avec marqué "cwcwer" et"c:appdata/roaming\2 2\svchost.exe"
Suite à la lecture d'un autre sujet,j'ai fais un scan avec aswMBR et voici le résultat:
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-22 10:17:16
-----------------------------
10:17:16.197 OS Version: Windows 6.1.7600
10:17:16.197 Number of processors: 2 586 0x4B02
10:17:16.199 ComputerName: XAVI-PC UserName: Xavi
10:17:16.465 Initialize success
10:17:19.101 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000065
10:17:19.105 Disk 0 Vendor: WDC_WD16 10.0 Size: 152627MB BusType: 3
10:17:19.108 Disk 1 \Device\Harddisk1\DR1 -> \Device\00000066
10:17:19.112 Disk 1 Vendor: WDC_WD25 02.0 Size: 238475MB BusType: 3
10:17:19.130 Disk 0 MBR read successfully
10:17:19.134 Disk 0 MBR scan
10:17:19.138 Disk 0 Windows 7 default MBR code
10:17:19.143 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152617 MB offset 63
10:17:19.149 Disk 0 scanning sectors +312560640
10:17:19.199 Disk 0 scanning C:\Windows\system32\drivers
10:17:26.089 Service scanning
10:17:37.942 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
10:17:42.422 Modules scanning
10:17:52.424 Disk 0 trace - called modules:
10:17:52.801 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x847711f8]<<
10:17:52.808 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x857b1620]
10:17:52.817 3 CLASSPNP.SYS[87ae059e] -> nt!IofCallDriver -> [0x854c4f08]
10:17:52.824 5 ACPI.sys[873393b2] -> nt!IofCallDriver -> \Device\00000065[0x854b2c78]
10:17:52.833 \Driver\nvstor32[0x847a1cc0] -> IRP_MJ_CREATE -> 0x847711f8
10:17:52.841 Scan finished successfully
10:18:04.757 Disk 0 MBR has been saved successfully to "C:\Users\Xavi\Desktop\MBR.dat"
10:18:04.780 The log file has been saved successfully to "C:\Users\Xavi\Desktop\aswMBR.txt"
Je suis sous windows 7,
merci d'avance pour m'aider et me dire comment je dois faire pour réparer ça!
Autres pages sur : probleme fichier appdata roaming
Lassé par la pub ? Créez un compte
Bonsoir,
Il nous faudrait le rapport Malwarebyte's s'il te plait
(Dans malwarebyte's : onglet "rapport/log )
Ensuite on va regarder un peu :
1) Télécharge OTL (de Old Timer) sur ton bureau.
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Coche en haut la case devant "Tous les utilisateurs"
Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici
Note : Les rapports sont aussi enregistrés sur le bureau
2) Télécharge TDSSKiller de Kaspersky sur ton bureau.
Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
Clique alors sur le bouton "Start Scan".
Laisse le scan s'effectuer.
Dans la fenêtre de résultat :
Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Pour la partie "Suspicious object" laisse sur "Skip"
/!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
Clique enfin sur "Continue"
Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Il nous faudrait le rapport Malwarebyte's s'il te plait
(Dans malwarebyte's : onglet "rapport/log )
Ensuite on va regarder un peu :
1) Télécharge OTL (de Old Timer) sur ton bureau.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
SAVEMBR:0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
SAVEMBR:0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
Une aide à l'utilisation ici
Note : Les rapports sont aussi enregistrés sur le bureau
2) Télécharge TDSSKiller de Kaspersky sur ton bureau.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
- | Alerter
- | Alerter
Contenus similaires :
